Projekts ntop, kas izstrādā rīkus trafika uztveršanai un analīzei, ir publicējis rīku komplektu dziļai pakešu pārbaudei nDPI 5.0, kas turpina OpenDPI bibliotēkas attīstību. nDPI projekts tika dibināts pēc neveiksmīga mēģinājuma virzīt izmaiņas OpenDPI repozitorijā, kas palika neapkopta. nDPI kods ir rakstīts C valodā un ir licencēts saskaņā ar LGPLv3 licenci.
Sistēma ļauj noteikt trafikā izmantotos lietojumprogrammu līmeņa protokolus, analizējot tīkla darbības raksturu bez piesaistes tīkla portiem (var noteikt labi zināmus protokolus, kuru apstrādātāji pieņem savienojumus nestandarta tīkla portos, piemēram, ja http netiek nosūtīts no 80. porta vai, gluži pretēji, kad viņi mēģina maskēt citu tīkla darbību kā http, palaižot to 80. portā).
Atšķirības no OpenDPI ir saistītas ar atbalstu papildu protokoliem un pārnešanu uz platformu. Windows, veiktspējas optimizācijas, pielāgošana lietošanai reāllaika satiksmes uzraudzības lietojumprogrammās (noņemot dažas specifiskas funkcijas, kas palēnināja dzinēja darbību), un iespēja veidot kā kodola moduli Linux un atbalsts apakšprotokolu definīcijai.
Atbalsta 56 tīkla apdraudējumu veidu (plūsmas riska) noteikšanu un vairāk nekā 450 protokolus un lietojumprogrammas (no OpenVPN, Tor, QUIC, SOCKS, BitTorrent un IPsec uz Telegram, Viber, WhatsApp, PostgreSQL un pieprasījumiem uz Gmail, Office 365, Google Docs un YouTube). Ir dekodētājs serverim un klientam. SSL sertifikāti, kas ļauj identificēt protokolu (piemēram, Citrix Online un Apple iCloud), izmantojot šifrēšanas sertifikātu. nDPIreader utilīta ir paredzēta pcap izgāztuvju satura vai pašreizējās tīkla saskarnes datplūsmas analīzei.
Jaunajā laidienā:
- Ir ieviests universāls datplūsmas identifikācijas mehānisms, apvienojot metadatus par TCP pirkstu nospiedumiem, TLS sertifikātu jaucējkodiem un JA4 (tīkla protokolu un lietojumprogrammu identificēšanas identifikatoriem) vienā datplūsmas marķierī (pirkstu nospiedumā). Šis jaunais mehānisms nodrošina precīzāku šifrētas vai apslēptas datplūsmas identificēšanu un saskaņošanu.
- Esam pievienojuši iespēju noteikt TLS, QUIC un HTTP plūsmas, kas satur resursdatora nosaukumus (piemēram, SNI TLS/QUIC gadījumā un resursdatora galvenē HTTP gadījumā), kas iepriekš netika atrisināti, izmantojot DNS. Šo aktivitāti var izmantot, lai identificētu anomālijas, slēptus datu pārraides kanālus un filtru apiešanas metodes.
- Nosakāmo protokolu un datplūsmas kategoriju skaita ierobežojums ir palielināts līdz 2^16, kas ļauj datplūsmas pārbaudes laikā noteikt praktiski neierobežotu protokolu skaitu. Visi pieejamie protokoli tagad ir iespējoti pēc noklusējuma.
- Noteikumiem par datplūsmas klasificēšanu pēc pirkstu nospiedumiem, JA4 lietojumprogrammu un protokolu identifikatoriem, HTTP URL un kategorijām ir pievienotas jaunas opcijas.
- Uzlabots atbalsts FPC (pirmās paketes klasifikācijas) tehnoloģijai, kas identificē protokolus, lietojumprogrammas un pakalpojumus, pamatojoties uz pirmo nosūtīto paketi, izveidojot savienojumu. FPC ievērojami samazina centrālā procesora slodzi datplūsmas pārbaudes laikā.
- Atbalsts pseidoprotokoliem, piemēram, ADULT_CONTENT, LLM un ADS_ANALYTICS_TRACK, ir noņemts, un tagad tiek izmantota uz kategorijām balstīta klasifikācija.
- Pievienots atbalsts un parsēšana jauniem protokoliem, tostarp Microsoft Delivery Optimization, Rockstar Games, Kick.com, MELSEC, Hamachi, GLBP, Matter, TriStation, Samsung SDP, ESPN un Akamai.
- Ir pievienotas jaunas apakškategorijas, un Amazon/AWS pakalpojumu klasifikācija ir paplašināta.
- Ir pievienotas aptuveni 30 jaunas kategorijas, un ir palielināts datplūsmas analīzes detalizācijas līmenis.
- Pievienots datu bloka lieluma analizators TLS savienojumiem.
- Pievienota iespēja izveidot protokolu stekus, kas aptver divus vai vairākus protokolus, klasificējot datplūsmu.
- Pievienotas jaunas API datplūsmas ranžēšanai un heksadecimālo secību kodēšanai/dekodēšanai.
- Atjaunināti botu, tīkla skeneru un ieguves pūlu saraksti.
- Atjaunināts kods HTTP, TLS un STUN protokolu parsēšanai.
- Inicializācija ir paātrināta un atmiņas pārvaldības efektivitāte ir uzlabota.
Avots: opennet.ru
